Sizleri son zamanlarda açığa çıkan ve yayılarak pek çok wordpress ve benzeri blog kullanıcısının etkilendiği ve farkında olmadan etkilenmeye devam ettiği global bir saldırı sıkıntısı hakkında bilgilendirmek isterim.
WP sistemlerindeki admin panel erişimlerini kırarak zararlı 3. Parti yazılımlar, malware trojan vb. içerikler yüklenmektedir. Ataklar üzerinde yapılan incelemelerde atakların neredeyse tamamının CMS sistemlerden (wordpress, joomla vb.) kaynaklandığı gözlenmiştir. (Çoğunlukla wordpress) Saldırıların yapısında incelenen ip adreslerinin spoof olması sebebi ile yüklenen zararlı içeriklerin bloklanması engellenebilir durumda tutulması da olası görünmemektedir.
Wp kullanıcıları olan tüm dostlarımızın bu ataklardan korunabilmesi ve bu atakların önüne geçilebilmesi için aşağıda hazırladığımız maddeleri gözden geçirmenizi ve mutlaka uygulamanızı tavsiye ederim;
- Wordpress kurulumunuzu ve tüm yüklü add-on ları güncelleyin ve son sürüme getirin.
- http://wordpress.org/extend/plugins/better-wp-security/ linkinde yer alan Güvenlik eklentilerini mutlaka yükleyin.
- Admin şifrenizin mümkünse rastgele yaratılmış olmasına ve rakam, özel karakter, büyük ve küçük harf içermesine dikkat edin.
Genel anlamda wordpress kurulumlarınızı daha güvenli bir hale getirebilmeniz için alabileceğiniz diğer önlemlere ilişkin aşağıdaki bilgileri de incelemenizi tavsiye eder;
- db_user için DROP komutunu iptal edin. Normal bir Wordpress kurulumunda DROP komutunun bir yetkisi, işlevi bulunmamaktadır.
- README ve Lisans dosyalarını kaldırın. (!) Versiyon hakkında bilgi sağlanabildiği için açığa sebebiyet vermektedir.
- Wp-config.php dosyanızı mevcut dizinden bir üst dizine taşıyarak izin bilgisini 400 olarak değiştirin.
- Mutlaka .htaccess dosyanızın erişilemediğine emin olunuz.
- .htaccess içerisine aşağıdaki kodu yerleştiriniz.
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress
order allow,deny
deny from all - Wp-admin sayfanıza ulaşıma ip kısıtlaması ekleyin.
- wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştirin. define('DISALLOW_FILE_EDIT', true);
- Gereksiz hiçbir dizin için 777 gibi bir global yazma izni tanımlamayın.
- management, wp-maintenance-mode, ultimate-security-scanner, wordfence gibi) http://wordpress.org/extend/plugins/better-wp-security/ linkinden temin edebilir ve kurabilirsiniz.
Kaynak : Wordpress ve CMS saldırıları hakkında önemli bilgilendirme
